Hoe de politie van Ironchat via Sky ECC bij EncroChat arriveerde

Hoe de politie van Ironchat via Sky ECC bij EncroChat arriveerde

Uit een proces-verbaal van een zitting in een strafzaak dat Crimesite heeft ingezien blijkt dat in 2019 een specialist van de politie een getuigenverklaring heeft afgelegd over de geheime methodiek die is ingezet om in 2018 berichtendienst Ironchat te hacken. Wie de tijdlijn nader bekijkt en de hacks op Ironchat, Sky ECC en EncroChat vergelijkt ziet overeenkomsten die haast geen toeval kunnen zijn.

Door @Wim van de Pol

In 2018 kreeg de Operatie Ironchat relatief weinig aandacht, hoewel de politie een flinke persconferentie optuigde. Er was een groep criminelen in de regio rond Enschede mee gesnapt. De politie bleek berichten die met berichtendienst Ironchat waren verstuurd te kunnen lezen. In totaal waren er zo’n 265.000 berichten leesbaar gemaakt door specialisten van de politie. Tientallen mensen werden opgepakt en veroordeeld op grond van deze chats. Xtc-labs, wapens, geld, softdrugs en harddrugs zijn in beslag genomen. Een liquidatie werd voorkomen.

Mocro-oorlog

Maar, vergeleken met de miljoenen berichten die de politie in 2016 in Canada bij Ennetcom in beslag had genomen viel dat bescheiden Ironchat in het niet. Bovendien was in Nederland de publiciteitsstorm van de Mocro-oorlog nog niet uitgeraasd. Een reeks van liquidaties die in de jaren na de dubbele moord in de Staatsliedenbuurt in Amsterdam (2012) werd gepleegd bleek te kunnen worden opgelost met de Ennetcom-chats. En dat bleef groot nieuws.

Mirakel

Maar het oprollen van de kleine berichtendienst Ironchat is niettemin het begin geweest van iets dat nog veel groter was dan Ennetcom. Niet miljoenen, maar miljarden berichten van EncroChat en Sky ECC bezorgen de recherche nu nog voor vele jaren werk.

En die miljarden berichten komen waarschijnlijk voort uit het mirakel van Ironchat.

Gelijkenissen

Wie terugkijkt in de tijd ziet wonderlijke gelijkenissen. Ook in het geval van Ironchat wist de recherche, net als bij EncroChat en Sky ECC eerst een server te kraken. Zoals bij EncroChat en Sky ECC die server in Frankrijk stond, werd voor Ironchat een server in het Verenigd Koninkrijk ingeschakeld, van internetbedrijf Bytemark.

En net als bij EncroChat en Sky ECC slaagde de politie er ook in het geval van Ironchat in om enige maanden live mee te lezen met de gebruikers.

Franse server

Sinds Crimesite berichtte over het bestaan van een machtiging van de rechtbank in Parijs voor de hack op Sky ECC, weten we dat daarin specifiek staat vermeld dat het Nederlandse specialisten waren die een hackmethode ontwikkelden om via een Franse server met alle Sky-gebruikers mee te kunnen lezen. Het was niet – zoals het Openbaar Ministerie steeds volhield tegen de rechtbanken – een Frans staatsgeheim.

Digitaal specialist

Maar het is wel een geheim, die methode. Niet alleen mocht kennelijk van het Openbaar Ministerie niemand iets weten van bestaan van het Nederlandse wondermiddel, die methode zelf blijft ook geheim.

Bij Ironchat was de methode eveneens strikt geheim. Maar in een strafzaak die was voortgekomen uit de hack van Ironchat werd er wel het een en ander over onthuld. De politiemedewerker (‘digitaal specialist’) die het team had geleid dat de methode had ontwikkeld werd door de rechtbank als getuige gehoord, op 19 april 2019.

National Crime Agency

Uit dit verhoor komt nog een opmerkelijke gelijkenis met de Encro- en Sky-hack naar voren. We weten inmiddels dat de politie op de servers in het Franse Roubaix software installeerde die ervoor zorgde dat alle berichten van gebruikers op een politieserver belandden.

Ironchat-deskundige vertelde in 2019 op vragen van advocaat Haroon Raza:

Er is software gemaakt waardoor berichten naar de server van de politie zijn gegaan. De berichten zijn vervolgens ontsleuteld door middel van een decryptiesleutel. (…) Er was een tap op de server en de berichten werden ontsleuteld door middel van een programma.

Omdat de Nederlandse politie tot maart 2019 volgens de wet niet mocht penetreren in een server, plaatste de Britse National Crime Agency vanuit een Britse server software (‘gemaakt door de Nederlandse politie’) op de server van Ironchat. Daardoor ging alle verkeer verlopen via de Britse server en daarna via een aanpalende server die de Nederlandse politie daar had ingericht. Hierop draaide de geheime software waarmee uiteindelijk alle berichten van Ironchat-gebruikers – ontsleuteld – werden gelezen.

Aan de rest van het Ironchat-protocol veranderde niets en via de politieserver kregen de gebruikers gewoon hun berichten te lezen zonder dat ze iets merkten.

Dezelfde methode?

De Nederlandse politie kraakte dus eerst Ironchat, daarna Sky ECC en uiteindelijk EncroChat. Het zou zomaar om dezelfde methode kunnen gaan.

Uit Britse documenten weten we nu alleen iets over de bij EncroChat ingezette methodiek. Vanaf een gehackte server van EncroChat in Roubaix kregen de telefoons van alle gebruikers een update die ervoor zorgde dat opgeslagen gegevens van gebruikers en hun berichten – niet versleuteld – heimelijk werden doorgestuurd naar de politie. Wellicht gebeurde hetzelfde in Engeland met de berichten van Ironchat.

Over Sky ECC is nu door het openbaren van een document van de Parijse rechtbank duidelijk dat Nederlandse specialisten verantwoordelijk waren voor de methodiek bij de hack op Sky. Het Openbaar Ministerie lijkt deze informatie te hebben willen weghouden bij de Nederlandse rechtbanken.

De Amsterdamse rechtbank doet in een grote cocaïnezaak inmiddels nader onderzoek naar de Franse documenten over de hack op Sky.

Als rechtbanken uiteindelijk misschien toch ook inhoudelijk meer willen weten over de toedracht en uitvoering van die hack (en die van EncroChat) zou het goed mogelijk zijn dat de politie-specialist en teamleider die in 2019 vertelde over de Ironchat-hack opnieuw als getuige moet optreden.